インテル
Intelは、主流のハードウェアコンポーネント内のセキュリティの脆弱性を広範囲にわたって探してきました。チップメーカーがいくつかの製品や規格内で70以上のバグ、欠陥、セキュリティの抜け穴を発見したと主張しているため、今月は明らかに懸念を抱いているようです。ちなみに、バグの大部分は「内部テスト」中にIntelによって発見されましたが、サードパーティのパートナーや代理店によって発見されたものもあります。
月刊誌であるIntelSecurity Advisoryは、セキュリティアップデート、バグバウンティトピック、新しいセキュリティリサーチ、およびセキュリティリサーチコミュニティ内のエンゲージメントアクティビティを記録する、高く評価されているリポジトリです。今月のセキュリティアドバイザリは、Intelが定期的に使用するコンピューティングおよびネットワーキング製品内で発見したと主張する多数のセキュリティの脆弱性のために重要です。言うまでもなく、今月のアドバイザリの大部分は、インテルが社内で発見した問題に関するものです。これらは、Intel Platform Update(IPU)プロセスの一部です。伝えられるところによると、Intelは約300の組織と協力して、これらのアップデートのリリースを準備および調整しています。
https://www.intel.com/content/dam/www/public/us/en/videos/corporate-information/ipu2019overview.mp4
Intelは77のセキュリティ脆弱性を開示していますが、まだ実際に悪用されたものはありません。
今月、Intelは 伝えられるところによると、合計77の脆弱性が開示されました プロセッサからグラフィックス、さらにはイーサネットコントローラまで多岐にわたります。 10個のバグを除いて、残りの欠陥はIntelが独自の内部テスト中に発見しました。ほとんどのセキュリティ上の欠陥はかなり軽微であり、適用範囲と影響の範囲は限られていますが、インテルの製品に顕著な影響を与える可能性のあるものもいくつかあります。いくつかありました インテルの製品内のセキュリティの脆弱性に関する今年の発見について できなかった セキュリティに影響を与えるだけでなく、パフォーマンスと信頼性にも影響を与えます。
Intelは、77のセキュリティ上の欠陥すべてにパッチを適用または修正している最中であることを保証しています。ただし、正式にCVE-2019-0169としてタグ付けされた欠陥の1つは、重大度がCVSS9.6です。言うまでもなく、9を超える評価は「重大」と見なされ、最も重大度が高くなります。現在、バグ専用のWebページには詳細が記載されていません。これは、セキュリティの脆弱性を採用および悪用できないようにするために、Intelが情報を差し控えていることを示しています。
https://twitter.com/chiakokhua/status/1194344044945530880?s=19
どうやら、CVE-2019-0169は、Intel Management Engine、またはリモート管理に使用されるIntelCPU上のスタンドアロンチップであるIntelCSMEを含むそのサブコンポーネントの1つに配置されているようです。正しく展開または悪用された場合、この脆弱性により、権限のない人物が特権の昇格を有効にしたり、情報を取得したり、隣接するアクセスを介してサービス拒否攻撃を展開したりする可能性があります。このエクスプロイトの主な制限は、ネットワークへの物理的なアクセスが必要なことです。
Intel AMTのサブシステムには、「重要な」CVSS評価の別のセキュリティ脆弱性が存在します。公式にCVE-2019-11132としてタグ付けされたこのバグにより、特権ユーザーがネットワークアクセスを介して特権昇格を有効にできる可能性があります。 Intelが対処している「高重大度」評価のその他の注目すべきセキュリティの脆弱性には、CVE-2019-11105、CVE-2019-11131 CVE-2019-11088、CVE-2019-11104、CVE-2019-11103、CVE-が含まれます。 2019-11097、およびCVE-2019-0131。
Canonicalが発表 #Ubuntu 最新のIntelの脆弱性を軽減するためのアップデート https://t.co/12ewhlNRkW 経由 @MariusNestor pic.twitter.com/DDfJriz4QQ
-Softpedia(@Softpedia) 2019年11月12日
「JCCエラッタ」のバグは、最近リリースされたほとんどのIntelプロセッサに影響を与えます。
「JCCエラッタ」と呼ばれるセキュリティの脆弱性は、主に広範囲にわたる影響のために懸念されています。このバグ 存在しているようです Coffee Lake、Amber Lake、Cascade Lake、Skylake、Whisky Lake、Comet Lake、Kaby Lakeなど、Intelが最近リリースしたほとんどのプロセッサで。ちなみに、 以前に発見されたいくつかの欠陥とは異なり 、このバグはファームウェアアップデートで対処できます。 Intelは、アップデートを適用すると、CPUのパフォーマンスが0〜4%の範囲でわずかに低下する可能性があると主張しています。 Phoronix 伝えられるところによると、JCC Erratum緩和策を適用した後、パフォーマンスへの悪影響をテストし、この更新はIntelの以前のソフトウェア緩和策よりも一般的なPCユーザーに影響を与えると結論付けています。
SpectreやMeltdownなどのマイクロアーキテクチャプロセッサの脆弱性は悪かったが、少なくともIntelはそれらを迅速に修正した。現在、Intelのシリコンには、同社が警告を受けてから1年以上、別の根深いチップの欠陥が残っているようです。 https://t.co/VMVeMpLJKg
—アンディ・グリーンバーグ(@a_greenberg) 2019年11月12日
Intelは、発見されたセキュリティの脆弱性に基づく実際の攻撃が報告または確認されていないことを確認しています。ちなみに、Intelは 伝えられるところによると どのCPUが安全であるか影響を受けているかを正確に見つけることは非常に困難でした。
タグ インテル
